• 목록
  • 아래로
  • 위로
출처 https://www.ahnlab.com/kr/site/securityi...ontent=741

V3 Lite 등 보안 프로그램을 무력화하는 악성코드가 확인됐다. 

특히 이번에 발견된 악성코드는 윈도우 운영체제에 기본으로 제공되는  ‘윈도우 디펜더(Windows Defender)’도 무력화하는 것으로 확인돼 윈도우10(Windows 10) 이용자들 또한 각별한 주의가 요구된다. 

 

이번에 발견된 악성코드는 감염 PC에서 사용자 몰래 가상화폐(암호화폐, Cryptocurrency)를 채굴(mining)하는 마이너(Miner) 악성코드로, 이 악성코드의 배치 파일(*.bat)이 다수의 보안 관련 프로그램 및 서비스를 윈도우 방화벽의 차단 리스트에 등록함으로써 사용자 PC를 위험에 노출시킨다. 

 

이 악성코드가 차단을 시도하는 보안 프로그램은 V3 Lite, 윈도우 디펜더 등 백신 프로그램을 비롯해 은행 사이트 이용 시 설치되는 해킹 방지 프로그램(ASTx), 또 윈도우 운영체제나 MS오피스 프로그램의 보안 패치 업데이트를 위한 ‘윈도우 업데이트 서비스’ 등이다. 

 


보안 프로그램 차단 여부, 어떻게 알 수 있나?

그렇다면 이 가상화폐 악성코드에 감염되었는지 어떻게 확인할 수 있을까? 

우선, 현재 V3 제품은 이 가상화폐 채굴 악성코드를 탐지하여 차단하고 있기 때문에 별 다른 문제가 발생하지 않는다. 

다음은 V3 제품군은 해당 악성코드를 탐지 및 차단하는 진단명이다. 


<V3 제품군 진단명>

- Trojan/Win32.Agent (2018.09.12.00)

- BAT/AVKill.S1 (2018.09.14.03)

- Malware/MDP.behavior.M2008

 

V3 Lite를 사용 중이지만 최신 버전의 엔진을 적용하지 않았거나 실시간 감시 기능을 이용하지 않을 경우, 또는 V3 제품을 사용하지 않고 있을 경우라면 감염 가능성을 완전히 배제하기 어렵다. 

이 경우 각각 다음과 같은 증상 또는 방법을 통해 해당 악성코드의 감염 여부를 판단할 수 있다. 

 

우선, V3 Lite를 설치한 PC에서 정상적으로 인터넷을 이용하고 있는데 갑자기 [그림 1]과 같은 ‘업데이트 오류’ 창이 나타난다면 해당 악성코드 감염을 의심해볼 필요가 있다. 

또는 인터넷이 정상적으로 연결되는 상황이라면 PC 화면 하단의 트레이 아이콘에서 V3 Lite 아이콘을 우클릭한 후 ‘업데이트’를 클릭해보는 것도 방법이다. 

마찬가지로 이때 [그림 1]과 같은 오류창이 나타난다면 해당 악성코드 감염을 의심해볼 수 있다. 


 

  

[그림 1] 악의적인 방화벽 차단에 의한 V3 Lite 업데이트 오류

 


이 경우, 안랩 홈페이지에서 제공되는 전용 백신(Registry Fix Tool)을 실행해 악성코드에 의한 방화벽 차단 조치를 ‘허용’으로 수정한 후, V3 Lite의 엔진 버전을 업데이트하면 된다. 

이렇게 V3 Lite의 엔진 버전을 최신으로 업데이트한 후 정밀 검사를 실시해 해당 악성코드를 삭제한다. 


(저작권 관련하여 이하 생략합니다. 출처의 원문을 참조 부탁드립니다.)




윈도우 방화벽과 관련된 악성코드이군요. 


보안 커뮤니티 등에서 돌아다니는 배치파일 소스를 보니 


netsh.exe 파일을 이용하여 방화벽 규칙을 변경하네요.


정말 심플하지만 영악한 수법이군요.


작성자
이니스프리 119 Lv. (2%) 4237820/115200000EXP

Make StudyForUs Great Again!

 

CSVpuymXAAAVVpd.jpg

공유

facebooktwitterpinterestbandkakao story
퍼머링크

댓글 1

도토리묵
저거 랜섬웨어에 적용한다면...ㄷ
comment menu
2018.10.11. 22:34
권한이 없습니다.